La estrategia de ciberseguridad de la Unión Europea, de la misma manera que la de cualquier Estado, se ha visto amenazada en los últimos meses debido a la transición obligada hacia el teletrabajo, pero también debido a los ataques a la cadena de suministro, al ransomware o al ciberespionaje. Sin embargo, los mayores temores siguen llegando desde los grupos de amenazas avanzadas persistentes (APT). Por este motivo, ESET, la mayor empresa de ciberseguridad de la Unión Europea, presentó ayer un informe sobre la situación de las amenazas desarrolladas por los grupos APT en la conferencia virtual que tuvo lugar para conmemorar el Día Europeo de la Ciberseguridad.
El informe de ESET examina la naturaleza compleja de los grupos APT con un análisis exclusivo de la campaña maliciosa EmissarySoldier, liderada por el grupo LuckyMouse, que utiliza el conjunto de herramientas propias SysUpdate para comprometer los sistemas, especialmente algunos que usaban Microsoft SharePoint.
El análisis de ESET se centra en el conjunto de herramientas SysUpdate, relativamente desconocidas y cuyas primeras muestras se descubrieron en 2018. La forma de operar de LuckyMouse consiste en instalar sus archivos a través de un modelo conocido como tridente, ya que usa tres componentes: una aplicación legítima vulnerable al secuestro de DLL, una DLL personalizada que carga el payload y un payload binario codificado con Shikata Ga Nai.
La arquitectura modular de SysUpdate permite a los operadores limitar la exposición de los artefactos maliciosos, por lo que los investigadores de ESET no recuperaron ninguno de estos módulos. Además, se espera que esto se convierta en uno de los desafíos para análisis futuros. Sin embargo, LuckyMouse incrementó su actividad en 2020, aparentemente a partir de un proceso de reconfiguración de sus herramientas e incorporando nuevas funcionalidades.
